本章では円 rewall を 2 台使用して、二重化構成を構築するための手順について説明します。 


セツトア、ソプの概要(^96ぺージ） . 

セツトア、ソプ(^99ぺージ） . 

運用（一121ぺージ） . 

二重化構成の再セツトアップ (^129 ページ) 


二重化機能の動作概要について説明しています。 

二重化構成を構築する場合の設定手順について説 
B 月しています。 

二重化構成での運届ちまじついて説 S 月します。 

再セットアップの手順が単体構成とは異なりま 
す。再セツトアップの際の差分や手順について説 
B 月しています。 


を意-制限事項(^130ぺージ) 


二重化構成で運用する際のを意事項や制限事項に 
ついて説 B 月しています。 











セツトアップの概要 


二重化構成じついて説明します。 


動作概要 


Firewall を二重化することで1台が障害などじより停止しても、もう1台の Firewall へ自動的に 
引き継ぐことにより、障害時の業務停止時聞を最小限にかえることができまず。 

また、運用系で FireWall -1 のプ□セスの異常をお化した場合や設定された IP アドレスとの适 
信が途絶した場合にも、待機系に業務を引き継ぐことが可能でず。 


W 下の仕組みで Firewall を二重化しまず。 


• 通常運用時 

一運用系側の Firewall で有効じした仮想 IP アドレスを使用してインターネット側とイン 
トラネット側の双ちか6アクセスしまず。 

一運用系/待機おの Firewall は互いにサーバの状態を監視をします。 



イントラネツト側 LAN 



96 





























• 運用をサーバ障害時 


一待機系の Firewall が運用系のダウンをお化します。 

-運用系の Firewall が仮想 IP アドレスを無効にします。 

-待機系の Firewall が仮想 IP アドレスを有効にします。 

ーインターネット側とイントラネット側の双方か6のアクセスは仮想 IP アドレスを使 
用しているので業務の切り替わりを意識することはありません。 


イントラネツト側 LAN 




DMZ を使用する場合もイントラネット、インターネット同様に仮想 IP アドレスが引き継がれ 
ます。 
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二重化構成では Firewal に台のほかに管理用サーバが必要となります。 Express 5800/ 
FW 300または FW 目00をもう1台使用し、管理サーバとして動作させることも可能でず。 


必要な IJ ソース 


二重化を実現するためには、 Firewall を単体で運用するときに比べて新たなリソースがか要 
です。 

セットアップの前にリソースの計画や設ををしてください。 

• 仮想 IP アドレス(インターネット側)：1つ 

インターネット側で引き郝 I ぐアドレスです。 

インターネット側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い。 

このアドレスは Firewall 本体のインタフエースに直接割り当てるアドレスではありませ 
ん。 

• 仮想 IP アドレス(イントラネット側)：1つ 

イントラネット側で引き継ぐアドレスです。 

イントラネット側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い。 

このアドレスは円 rewall 本体のインタフエースに直接割り当てるアドレスではありませ 
ん。 

• 仮想 IP アドレス (DMZ 側)：1つ 

DMZ で引き継ぐアドレスです。 DMZ を設けない場合には不要でず。 

DMZ のネットワークアドレス内でホ使用の IP アドレスを設定してください。 

このアドレスは円 rewall 本体のインタフエースに直接割り当てるアドレスではありませ 
ん。 

• 円 rewall 間通信用アドレス：1つ 

円 rewall 闇の監視に使用ずるアドレスでず。 

基本的じは、 Firewall 監視専用アドレスとして、 Firewall 本体のインタフェースに割り当 
ててください。 
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セットアッつ 

じ(下のネットワーク構成を例にとって設定を行いまず。 


• 

円 rewall 1(運用系） 



ホストを： 

fwsi 


インターネット側実 IP アドレス： 

202.247 .5.1/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.1/255.255.255.0 


イントラネット側実 IP アドレス： 

192.168 .1.1/255.255.255.0 


Firewall 闇通信用 IP アドレス： 

192.168 .2.1/255.255.255.0 

• 

円 rewal に解機系） 



ホストを： 

fws 2 


インターネット側実 IP アドレス： 

202.247 .5.2/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.2/255.255.255.0 


イントラネット側実 IP アドレス： 

192.168 .1.2/255.255.255.0 


Firewall 間通信用 IP アドレス： 

192.168 .2.2/255.255.255.0 

• 

仮想 IP アドレス 



インターネット側： 

202.247 .5.3 


DMZ 價り： 

172.16 .1.3 


イントラネット側： 

192.168 .1.3 

• 

プ□キシ ARP アドレス 



インターネット側： 

202.247 .5.4/255.255.255.0 

• 

管理用サーバ 



ホストを： 

firewalLmgr 


IP アドレス： 

192.168 .1.4/255.255.255.0 

• 

GUI クライアント用 PC 



IP アドレス： 

192.168 .1.5/255.255.255.0 



I 重化構成について 
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設定手順の流れ 


じ(下に設定手順の流れを示します。ここでは二重化に関する設定内容を説明します。その他 
の手順については3章を参照してください。 











二重化する 2 台のサーバを管理するための管理サーバをセットアップしまず。以下のを件を 
満たすコンピュータに管理モジュールをインス I ''ールしてください。 Express 5800/ 
FW 30 日または FW 50 日をもう1台用意し、管理サーバとして動作させることも巧能です。 


オペレーテインクシステム： 


Windows or Linux 
ディスク容量： 

モリ： 

Solaris 
ディスク容量： 
メモリ： 


Windows NT 4.0 Serve 「( SP 目 a )、 

Windows 2000 Server ( SP 1. SP 2、 SP 3、 SP 4)、 
Windows 2000 Advanced Server ( SP 1、 SP 2、 SP 3、 
SP 4 ) 、 Windows 2003 Server . 

SolarisS / UltraSPARC (32- bit . 64- bit ). 

Sola 「 is 9 / UltraSPARC (64- bit )、 

RedHat Linux 7.0 (kernel version 2.2.16、2.2.17、2.2.19) 
RedHat Linux 7.2 (kernel version 2.4.9-31) 

RedHat Linux 7.3 (kernel version 2.4.18-5、2.4.18-27, 
2.4.20 ) 

300 M 目 上 
に 8 M 目上 

300 M 巨 上 
128 M 巨 上 


上記は、2004年3月現在の情報です。今後のパッチリリース I こより変更になる可能性があ 
ります。 
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Firewall-1 管理ヴーノ f の設定 

Express 5800 /FW 300 または FW 500 を管理サーバとして動作させる場合の設定例です。 W 
下の手順に従って設をを行って<ださい。 

1 . 初期導入ディスク[こよる設走を行う。 

3章の「1.初期導入設定用ディスクによる設走」を参照し、初期設走と管理クライアントの接続を 
行ってください。 

w-oira 

r 初期導入設定用ディスクの作成」- r 各入力項目の設定 J において、「ヴーバタイプ」は r 管理ヴー 
パ ’ J にチェックをしてください。 

2 . 基本設走ツールじよる設をを巧う。 

w-oira 

3章の「2.システムのセットアップ J - 「畐本設定ツールによる設定」を参照し、管理ヴーバとし 
て使用ずるための設定を行ってください。サーバタイプの設定では、 
に. Mana 呂 ementServerJ 管理ヴーバになつていることを確認してくだをい。 


# fwsetup 

Firewall Server conflauration tool Ver.2.4-2 

server type 

1. Firewall 

2. Management Server 

select number[2]. 

my 

# shutdown -r now 


確認 


3. 設定終了後、再起動する。 





Firewall -1 管理モジユールのコンフイグレーシヨン 

管理モジユールを管理サーバへインス I '■-ルします。じ(下の手順でコンフイグレーシヨンを 
巧ってください。図中の〈略〉の設定する項目については、3章の「2.システムのセットアッ 
プ」-「円 rewWall -1 のコンフイグレーシヨン」を参照してください。 

# cpcontig 

Welcome to Check Point Configuration Program 
Please read the following license agreement. 

Hit 'ENTER' to continue... ... ® 


Do you accept all the terms of this license agreement (y/n) ? y . み 

Please select one of the following options : 

Check Point Enterprise/Pro - for headquarters and branch ofrices. 

Check Point Express - for medium-sized businesses. 

(1) Check Point Enterprise/Pro. 

(2) Check Point Express. 

Enter your selection (1-2/a-abort) [1] : 1 .W 

Select installation type: 

(1) Stand Alone - install VPN-1 Pro Gateway and SmartCenter Enterprise. 

(2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or Loq Server. 

Enter your selection (1-2/a-abort) [1] : 2 ..® 

① FireWall -1 管理モジュールのコンフィグレーションをずる。 

( D 使用許諾に承認した場合はく Y > キーを押す。 

③ インストールする製品を違択する。 

ライセンスに合わせて製品を選択し、インストールします。 

④ インストールするモジュールを選がする。 

二重化構成の場合は「2」を還択し、インストールします。 
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Select installation type : 


VPN-1 Pro Gateway. 

Enterprise SmartCenter. 

Enterprise SmartCenter and VPN-1 Pro Gateway. 
Enterprise Log Server. 

VPN-1 Pro Gateway and Enterprise Log Server. 


Enter your selection (1-5/a-abort) [1] : 2 .. 

Please specify the SmartCenter type you are about to install : 

(1) Enterprise/Pro Primary SmartCenter. 

(2) Enterprise/Pro Secondary SmartCenter. 

Enter your selection (1-2/a-abort) [1] : 1 . 

This program will guide you through several steps where you 
will define your SVN Foundation configuration. 

At any later time, you can reconfigure these parameters by 
running cpconfiq 

(略） 

************* Installation completed successfully ************* 

Do you wish to start the installed product(s) now? (y/n) [y] ? y 

cpstart : Power-Up self tests passed successfully 

(略） 

Fire 村 all-1: This is a Management Station. No security policy will be loaded 
Fire 内 all-1 started 

# shutdown -r now . 


① インストールするモジュールを選択する。 

「2」を違択し、管理モジュールをインストールします。 

② インストールずる管理モジュールのタイプを違がする。 
「1」を選択し、 Primary として巧用します。 

③ 管理モジュールを起動させる。 

④ 再起動する。 


1 2 3 4 5 
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Please read the following license agreement. 
Hit ’ENTER ， to continue... .. 


Do you accept all the terms of this license agreement (y/n) ? y . 

Please select one of the following options : 

Check Point Enterprise/Pro - for headquarters and branch offices. 

Check Point Express - for medium-sized businesses. 

{1)Check Point Enterprise/Pro. 

{2) Check Point Express. 

Enter your selection {1-2/a-abort) [1] : 1 .. 

Select installation type : 

{1)Stand Alone - install VPN-1 Pro Gateway and SmartCenter Enterprise. 

{2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or Loq Server. 

Enter your selection {1-2/a-abort) [1] : 2 . 

① 円 reWall -1 のコンフィグレーシヨンをする。 

② 使用許諾に承認した場合は < Y > キーを押す。 

③ インストールする製品を逞択する。 

ライセンスに合わせて製品を達択し、インストールします。 

④ インス!ルするモジユールを選がする。 

二重化構成の場合は「2」を違択し、インストールします。 


拌 cpconfig 

We 丄 come to Check Point Co 打 flauration Program 


Firewall-1 のコンフイ グレーシヨ ン 

二重化構成の場合、コンフィグレーション手順が3章とは一部異なります。図中の〈略〉の設 
定する項目については> 3章の「2.システムのセットアップ」- 「 FireWalM のコンフイグレー 
ション」を参照してください。 
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VPN-1 Pr 
Enterpri 
Enterpri 
Enterpri 
VPN-1 Pr 


Select insta 


and VPN-1 Pro Gateway. 


nterprise Log Server. 


nation type: 


o Gateway, 
se SmartCenter. 
se SmartCenter 
se Log Server. 
o Gateway and E 


IP forwarding disabled 

Hardening OS Security: IP forwarding will be disabled during boot. 
Generating default filter 
Default Filter installed 

Hardening OS Security: Default Filter will be applied during boot. 
This program will guide you through several steps where you 
will define your VPN-1 & Fire 村 all-1 configuration. 

At any later time, you can reconfigure these parameters by 
running cpconfiq 

(略） 


Is this a Dynamically Assigned IP Address gateway installation ? (y/n) [n] ? 

Would you like to install a Check Point clustering product (CPHA, CPLS or State 
Synchronization)? (y/n) [n] ? y . 


Enter your selection (1-5/a-abort) [1] : 1 


①インス!ルずるモジュールを選択する。 

「1」を選択し、インストールします。 

③ Dynamically Assigned IP Address Module をインストールするか問い合わせがあるの 
で、く Erite「> キーを選択ずる。 

③ Check Point clustering product をインストールずるか間い合わせがあるので、く Y> 
キーを押ず。 


1 2 3 4 5 
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(略） 

Configuring Secure Internal Communication... 


The Secure Internal Communication is used for authentication between 
Check Point components 

Trust State : Uninitialized 
Enter Activation Key : 1 

Again Activation Key : | 

The Secure Internal Communication was successfully initialized 

initial—module: 

Compiled OK. 

Hardening OS Security: Initial policy will be applied 
until the first policy is installed 


In order to complete the installation 
you must reboot the machine. 



① FireWall -1 管理サーバと Firewall 闇での届信じ使用するパスワードを設をしてください。 

② 終了後，再起動します。 
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セキ ユ IJ ティポ IJ シーの 設定 


Firewall オブジェクトの作成 

1. 2 台の Firewall のオブジェクトを作成する。 


— ViewObjectTree のに heckPoint] を選択し、ちクリックしまず。 

[New Check Point] 一 [Gateway] を選択します。 

—オブジェクト: Gateway 
さ)前 ： fws1 、 fws2 

内容 ： IP Address には Fire 邮 all-1 管理サーバと同じネットワークの実 IP アドレス 

を設定してください。 

- RreWall-1 管理サーバから Firewall を管理(セキュリティポリシーの設を节□グ表示など)す 
るためには、 Fire 邮 all-1 管理サーバと Firewall との間で通信を巧うための設定が必要でず。 
General ぺージで [Communication...] をクリックし、 FireWall- 1 の〕ン フイ グレーシヨン時 
に設定したパスワードを入力してください。 


Qemral Propertwc 

田 Topolcpsy 
NAT 

Authentication 
国 Logs and Masters 
Capacity Optimization 
因 Advanced 


Check Point Gateway - General Properties 


曲 me: |f«isl 

IP かか ess: 12022475.1 
Comment： 


自 at address I F Dynamic Address 


r 


ChMk Point Products 

Vers か I NO with Application Intelligence こ]白巧'/ ersion| 
Type： 


I Check Point Enterprise/Pro 


VPN 


SecureC I lent Soft«vare Distr but ion Server 
Additional Products: 

厂 Web Server 

Secure Internal Communication 


ぶ 


The Activation Key that you specify must also be used in the module configuration. 


Activation Key： p**** 

をめ firm Activation Key： p**#* 
Trust state 


[llnnitialized 
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Topology ぺージで全インク フエー スを設定します。に et Topology ...] をクリ 、ソク して自動 
取得します。 


2 . tTF のクラスクオブジェクトを作成ずる。 

— ViewObjectTree のに heckPoint ] を選択し、ちクリックします。 
[New Check Point]^[Gateway Cluster ] を選択しまず。 


ーオブジェクト 
を前 
内容 


Gateway Cluster 
fws_cluster 

IP Address (こはインターネット側の仮想 IP アドレスを指走してください。 
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3. Cluster Members ぺージで、手順 1 で作成した 2 台の円 rewall オブジェクト ( fwsi と fws 2) を追加 I す 
る。 


General Properties 
Cluster Members 
み d Party Configuration 
Synchronization 
田 Topology 
NAT 

Authentication 
田 Logs and Masters 
edacity Optimization 
田 Advanced 



Cluster Members 


Gateway Cluster members List 


I IP Address 


202.247 .5.1 

202.247 .5.2 


ぶ 


[Add-] 


OK I Cancel_Help 


4. 3 rd Party Configuration ページで、設定:を確認ずる。 

「Hide Cluster Members ’ outgoing traffic behind the Cluster’s IP Address 」 にチェックが付 
いていないことを確認しまず。 



























已. Synchronization ぺージでセッション同期を行うネットワークを入力する。 
このネットワークにおいて互いのコネクション情報を共有します。 


Seneral Properties 
Cluster Me rriiers 
3rd Party Configuration 

SBSSIBS9SIQS3 

压 I Topology 
NAT 

Authentication 
因 Logs and Masters 
Capacity Optimization 
旧 Advanced 


Synchron ization 


Iv Jise State Synchronization 


'nchronizatioti ni 
'tetwork Name 


Set I _Add.. I 


J 


Add Synchronization Network 


口 


Name ： 

Network Address ： 

Net Mask ： 

I OK 


[syncj 


1192.168 ,2.0 


ド妨颁.颁で 

1 Cancel I 


己. Topology ぺージしてインクーフてースの設をずる 0 
IP アドレスじは、仮想 IP アドレスを設定します。 


Seneral Properties 
Cluster Me rrbefs 
3rd Parly Contiguratior 
Synchronization 
田 Topoloey 
NAT 

Authenticaticn 
田 Logs and Masters 
Capacity Optimb が ion 
田 Advanced 


Topology 

Get- 


Name f IP Wress I Network Mask ] IP Addresses behind interface ] 


192.168 .13 
202.247 .5.3 

172.16 .13 


筋巧255。 
妨妨.紙。 
266.2266.0 


This Network 
External 
Ibis Network 


Edit.. I Remove I 


pported from NO with A 
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二重化用ルールの追加 


二重化機能を使用するためには、サーバ闇の状態監視用通信を通すためのルールを設定する 
必要があります。 

1. メニューの [ Manage ]^[ Services ...] 一 [ Mew ] を違択し、(下のサービスを走義ずる。（を前は一 
例です。他のを前でも構いません。） 

オブジェクト : TCP 
を前 ： clp_tcp 

ポート ：28001 


オブジェクト : UDP 
名前 ： cipjjdp 

ポート ：28002 


上記ポート番号は基本設定ツールにおける既定値のポート番号でず。二重化機能の設定でポー 
卜番号を変更ずる場合はその設定に合わせてサービスの定養を行ってください。 




2 . 上記の二重化通信巧のルールを追力日する。 


項目 

Source 

Destination 

Service 

Action 


設定値 
fws 1、 fws 2 
fws 2, fwsi 
clp _ tcp 、 clp—udp 
accept 




































二重化用設定事項 

二重化機能を使用ずるためには、設定事項として、 [Policy] - |；Global Properties] - [NAT - 
Network address translation] ぺージ TTAutomatic ARP configuration」 のチェックを外ず 
必要がありまず。 



チェックをかす 


セキュリティポリシーのインス I -ール 

セ丰ュリティポリシーの作成が完了したら、ポリシーをインストールしてください。2台の 
Firewalll こインストールされます。 

セキュリティポリシーのバックアップ 

二重化構成の場合，ポリシー情端ま Firewall- 憎埋サーバに保存されますが、情報のリスト 
アの隐じは，管理サーバと Firewall 本体の両方のノ'(ックアップデータがあ要となります。管 
理サーバとして Express 5800 /FW 300または FW 500を使用している場合には、3章の「4.セ 
キュリティポリシーのバックアップ」コマンドによるバックアップを参照してください。 
FireWall-1 モジュールのバックアップちまと同じです。 

その他のサーバを使用している場合には、該当するファイルのバックアップが必、要となりま 
す。似下のファイルは、 Windows マシンを使用した場合の一例です。インストールディレ 
クトリによって異なりますのでを意してください。） 

1. W 下のディレクトリ配下のすべてのファイル 

C :¥ WINNT¥FW 1 ¥ R 55 ¥conf 
C :¥ WINNT¥FW 1 ¥ R 55 ¥da ほ base 
C :¥ WINNT ¥ FW 1¥ R 5 已 ¥lib 

C:¥Program Files ¥ CheckPoint ¥ CPShared ¥ R 55¥ conf ¥ sic _ cert.p 12 

吕 . HKEY 丄 OCAL _ MACHII \ IE¥SOFT 附 ARE ¥ CheckPoint¥S に 

レジストリエディクを開き，上記のレジストリツリーをファイルに書き化し，バックアップをし 
てください。 

I M -0 セキュ U ティーポ U シーの設定の説明において使巧している画像イメージは、 
FireWall-1 の FeaturePack によって異なる場さびありまず。 
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二重化機能の設定ち法を説明します。設定は基本設をツールか6巧います。両 Firewall で全 
く同じ設定を巧ってください。 

二重化機能の設定項目およびそれぞれの制限事項は t (下のとおりです。 

• 八ートビート送信間隔 

八ートビートのを信聞隔(秒）を指定します。 

• トビートタイムアウト時間 

八ートビートが途絶して柜手 Firewall がダウンしたと認識するまでの時聞(秒)を指をしま 
す。八ートビート送信圈隔より大きい値を指定してください。 

• 円 rewall 起動待ち時間 

起動時に相手 Firewall の起動時園を待ち合わせる時闇(秒)を指をします。八ートビートタ 
イム時闇より大きい値を指定してください。 

• 内部通信用 TCP ポート番号 

2台の Firewal 晴で适信を巧うための TCP のポート番号を指をします。 

• 内部通信用 UDP ポートま号 

2台の円 rewall 园で适信を斤うための UDP のポート番号を指をします。 

• 円 rewall 1のサーバ名 

ホストをは FQDN おまではなく、ドメインをを除いた名前を指をしてください。 

• 円 rewal にのサーバ名 

ホストをは FQDN おまではなく、ドメインをを除いた名前を指をしてください。 

• 円 rewall 1のインタコネクトアドレス 

巧手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• 円 rewal にのインタコネクトアドレス 

巧手円 rewall を監視するためのアドレスとネットマスクを入力します。 

• 仮想 IP アドレス 

二重化機能を使巧する場合、円 rewall へのアクセスは原則仮想 IP アドレスを使用するみ要 
があります。 

サーバ圍監視専用インタフェースを除く全インタフェースに仮想 IP アドレスを設定して 
ください。 

• 監視対象アドレス 

監視対まとして設をされた IP アドレスとの届信が遠給した場合、待機系円 rewall にフェイ 
ルオーバが行われます。本項目の設をは省略することができます。 

• プ□キシ ARP アドレス 

S ね ticNAT 機能を巧用する場合，外部公開アドレスとして使用するアドレスを指定して 
ください。 
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• 運用を円 rewall 

運用系の円 rewall を指走:します。 

• 自動フェイルバック 

自動フェイルバックを行うかどうか設定します。自動フェイルバックを auto にした場 
合> 運用系ダウン後、待機系に業務が引き継がれている状態で，運用系が復帰(起動)す 
ると、自動的に運用系に業務を戻します。 

基本設定ツールでの設を手順を示します。下の内容は> 本章の r セットアップ」で示した 
ネットワーク構成を例にとって説明します。 



③二重化機能を使用する。 <Y> キーを押す。 

① 八ートビートを信闇隔(秒）を人力する。 

② 八ートビートタイムアウト時闇(秒）を入力する。 

③ 起動時に柜手 Firewall の起動を待ち合わせる時圍(秒）を人力する。 

④ 内部通信用の TCP ポート番号を入力する。 


11已 








⑥内部届信用の UDP ポート番号を人力する。 
⑥ Firewalll のサーパ名（ホストを）を入力する。 


ホストをは FQDN おまではなく、ドメインをを除いた名前を指をしてください。 
⑦ Firewal にのサーバ名（ホストを）を入力する。 

ホストをは FQDN おまではなく、ドメインをを除いた名前を指をしてください。 



Input fwsl interconnect address 
address (1) : 1 日 2.168 .2.1 
netmask(1) : 2 已己 .2 已己 . 2 已己 . 0 

address(2) : 

No. address/netmask 
1 192.168 .2.1/255.255.255.0 


("a"=add | "m num"=modifv | "d num"=delete | "l" = list | 


Input fws2 interconnect address 
address(1) : 192.168.2.2 
netmask(1) : 2 己己 . 2 己己 . 2 己己 . 0 

address(2) : 

No. address/netmask 
1 192.168 .2.2/255.255.255.0 


("a"=add | "m num"=modifv | "d num"=delete | "l" = list | 



Enter=next) : 



Enter=next) : 


①運用系 Firewall の Firewall 圍監視巧アドレス（インタコネクトアドレス）とネットマスクを 
入■力ずる。 

インタコネクトアドレスは16個まで設定巧能です。 

設定後に一覧を表示します。 

一覧から設を内容の追力日、および修正、削除、一覧の再表示をキー入力から操作できま 
ず。 

く A > キー+ く Enter> キー： インタコネクトアドレスを追加]しま 

ず。 

く 1\/1>キー +r 修正ずる一覧の香号」+く Erite「>+— :指定した番号の設定を修正します。 

く D> キー +r 削除ずる一覧の番号」+く Erite「> キー：指定した番号の設をを削除しまず。 

く 1_>キー+く Ente「>+— : —覧を再表示します。 

く Ente「> キー： 次の項目へスキップします。 

感待機系 Firewall の Firewall 間監視用アドレス（インタコネクトアドレス）とネ、ソトマスクを 
入力ずる。 
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No. 


group configuration - 

name 

groupO 

group fip configuration 


Input FIP address . 

address(1) : 202.247. 日 . 3 
netmask(1) : 2 日日 . 2 日日 . 2 日日 . 0 
address(2) :172.16 .1.3 
netmask(2) : 255.255.255.0 

address( 3 ) :192.168 .1.3 
netmask(3) : 2 日日 . 2 日日 . 2 日日 . 0 

address(4) : 

No. address 

1 2 02.247 .5. 3/2 55.255.255.0 

2 172.168 .1.3/255.255.255.0 

3 192.168 .1.3/255.255.255.0 

("a"=add | "m num"=moaify | "d num"=delete i 


=list I Enter=next): 


.① 


①仮想 IP アドレスを入力する。 

仮想 IP アドレスは8個まで設定可能でず。 

設定後に一覧を表示しまずので、磕認、または、変更してく Eriter> キーで進みまず。 


■; 一 


二重化機能を使用する場合、サーバへのアクセスは、原則仮想 IP アドレスを使巧する也、要が 
あります。 

サーノ く間監視專用インタフエース1^^外の全インタフエースに仮想I P アドレスを設をしてくだ 
さし、。 


I 重化構成について 
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① 


- group 0 ipw conflauration - 

Input IP 内 address . 

address (1) : 2 02.247 . 百 .; kxx | 2 02.247 . 百 .; kxx 
address(2) : 

No. address 

1 202.247.5.XXX |202.247.5.xxx 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next): 

①監視する IP アドレスを入力ずる。 

「1」で区切って複数の IP アドレスを入力することができます。ぞの場合は、指定した全 1P 
アドレスとの通信が途絶した場合にリソース異常となります。 

監視ずる IP アドレスは8個まで設定可能でず。ただし、「1」で区切った IP アドレスはを体 
で1つの IP アドレスとしてカウントします。 

設定後に一覧を表示しますので、確認、または、変更してく Ente にキーで進みます。 

■: 監視が象として設をされた IP アドレスとの通信が途絶した場合、待機系サーバにフェイル 

1 1 ント I 才ーバが斤われます。 

く設定例> 

• 202.247丘254と192.168 .1.254 のどちらかと通信が途絶した場合にフェイルオー 
バを巧いたい場合。 

No. address 

1 202.247 .5.254 

2 192.168 .1.254 

• 202.247丘254と192.168 .1.254 の双方と通信が途絶した場合にフェイルオーバを 
わし'' たし'!場合 0 

No. address 

1 202.247 .5.254 I 192.16 8.1.254 

• 202247 .5.5 と202.247 .5.254 の巧方と通信が途絶した場合か、192.168 .1.2 日4と 
通信が途絶した場合にフェイルオーバを行いたい場合 

No. address 

1 202.247 .5.5 I 202.247 .5.254 

2 192.168 .1.254 
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groupO proxy arp configuration 


Input proxy address . 

address(1) : 202.247. 日 . 4 
address(2) : 

address 
202.247.5.4 


No. 


("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next): 


’① 


①設定するプ□キシアドレスを指定する。 

プ□キシ ARP アドレスを入力します。プ□キシ ARP アドレスは256個まで設定可能で 
す。 

設定後に一覧を表示しますので、お認、または、変更して <ENTER> キーで進みます。 


[ETn 


プロキシ ARP ァドレスでは、運用系サーバにて & aticNAT を斤う場合の公開用 IP ァドレスと 
なります。 S ね ticNAT で公開する IP アドレスを全て登録してください。 


- aroupO resource conflauration - 

Input primary server hostname{fwsl,fws2)[fwsl] : 
Input fallback policy{1 : auto, 2 : manual)[manual] : 
- END CLUSTE 民 P 民 0 configuration - 


① 

⑤ 


① 運用系サーバを入力する。 

② 自動フェイルバックを巧うかどうか入力する。 

l—O 上記の設定は fwsl 、 fws 吕で同じ設定にしてくださし1。 




上記の設定後は、本体を再起動させる'必要があります。 U 下のコマンドを人力して<ださ 
し、 


# shutdown -r now 


他のネットワーク機器の設定 


イントラネットと DMZ にを在するネットワーク機器については、デフォルトルートの設定 
としてサーバに設定したそれぞれのネットワークの仮想 IP アドレス（イントラネット側: 
192.168.1.3、 DMZ 個I:172.16 .1.3) をち定するようにしてください。 


I 重化構成について 
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【参考】 NAT のためのルーテイングテーブル 


円 rewall の二重化構成において， DMZ 上や□—カルネ、ソト内のサーバのアドレスを静的に 
NAT (アドレス変觀し、インターネット上に公開する場合、ルーティングテーブルとプ□キ 
シ ARP テーブルの設をを別途巧うあ要があります。 

例として、 U 下のネットワーク構成の場合> 公開用 WWW / FTP サーバを該当するホストと 
すると、と rF のようなルーティングテーブルとプ□キシ ARP テーブルの設をを円 rewall へ行 
う必要があります。 


I—— — — I 202.247 .5. 127 

I I 



destination 202.247 .5. 127 
netmask 2己己.2己己.2己己.25己 
gateway 172.16 .1.2 

変換後のアドレスを destination 、 実際のアドレスを gateway に指定してくださし、 
fwsetup の static routing の項目で設定:することができます。 

プ□キシ ARP の設定については、前述の r 二重化機能の設を」を参照してください。 




運用 

二重化構成の運用じついて説 S 月します。 


障害発生時の巧応 


運用系サーバにおいて障害をお化した場合には、フェイルオーバが発生し， 

待機系サーバへ業務が切り替わります。その際に基本設定ツールで指をした管理者の E-mail 
アドレス巧にメールがを信されまず。 

• ダウンしたとをのメッセージ 



I n-O ダウンした要因びネットワークの通信障害などの場合、ダウンしたとをのメッセージびヴ ー 
パ巧に滿留し、障害復旧樹こ送信されることびありまず。メッセージを受信した 6 必ずその 
発信時刻を確認ずるようにしてくだをい。 

メールを受信した ^ Express 5800 / FW 300の状態を殖認し、システム□グ ( syslog ) からフエ 
イルオーバが発生した要因を殖認し，必要な対処を行ってください。メッセージ内容、対処 
方法等は r 付録 C 二重化機能の□グメ、ソセージ」を参照してください。 

• 監視対ま IP アドレスとの通信を絶、あるいは、 FireWall -1 プ□セス消滅が発生し，待機系 
円 rewall に業務を引き継いだ場合、 iU 後，そのサーバ上での業務の起動が拒否されるよう 
になります。その Firewall が業務の起動拒否状態かどうかは> [cipstat - s ] の 
[ STARTING ] で磕認できます。 

• 運用系円 rewall が起動拒否状態のまま待機系 Firewall で業務を遂巧している場合、待機系 
Firewall で監視対ま IP アドレスとの适信途給、あるいは FireWall -1 プ□セス消滅が発生し 
てち 、待機系円 rewall から運用系 Firewall へは業務が引き継がれず，引き続き待機系 
円 rewall で業務が遂行されます。但し，上記の条件においても相互のインターコネクトの 
届信が途絶した場合においてはこの限りではなく、起動拒否状態であっても運用系 
Firewall で業務が遂行されます。起動拒否状態は、次の手順により解除されます。 


I 重化構成について 
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[監視巧を IP アドレスとの通信途絶が原因の場合] 

-監視対ま IP アドレスとの届信復帰 
- dpgrp コマンドによって業務を起動 
-円 「 ewal 南起動 

[ Firewall - 1プ□セス消滅び発生した場合] 

- cipgrp コマンドによって業務を再開 
-円 「 ewal 陌起動 



<U> groupO-execl 

W : /opt/necfws/bin/ckfwalive 
E : /opt/necfws/bin/ckfwalive 


ONLINE OFFLINE 
-k 


状態表示、運用系 > 待機系の切替等はコマンドを使用して巧います。 

情報表示 

現在の状態、設定内容をお認するにはじ(下のコマンドを実行します。 

clpstat -S [-h host name] 

-n 

- i [-h host name] 

状態、設を情報の表示を巧います。 

〈オプション〉 

- S または引数なし.…各種状態を表示します。 

-n . インタコネクトマップを表示します。 

-i . 各種設定を表示します。 

- hhos し name . 操作対まサーバを。指をなしの場合、コマンド実行サーバが対象とな 

ります。 



ONLINE OFFLINE 


ONLINE OFFLINE 


o / / 
p t t 


I 重化構成について 
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cipstat - s の各項目について 


① サーバ さ 1(1 台目) 
③ サーバ をに台目) 
③ サーバの 状態 


ONLINE :八ートビートが受信されている 
OFFLINE :八ートビートが受信されていない 

④グループの状態 


ONLINE 

正常 

OFFLINE 

停止 

ERROR 

異常 

UNKNOWN 

不 0 月 

⑥フェイルオーバポリシ 
愈グループ起動の許可/禁止 

ALLOW 

許可 

DENY 

禁止 

UNKNOWN 

不0月 

⑦ IPW リソースの起動種別とが態 

< A > 

をサーバ起動 

< U > 

単サーバ起動 

ONLINE 

正常 

OFFLINE 

停止 

ERROR 

異常 

UNKNOWN 

不0月 


® IPW リソース監視アドレス 

⑨ 円 P リソースの状態 

《 IPW リソ ースと 同様 

⑩ FIP リソース設定アドレス/ネットマスク 
⑩ PARP リソースの状態 

《 IPW リソースと同様 
@ PARP リソース設定:アドレス 
@ EXEC リソースの状態 
《 IPW リソースと同様 
@ EXEC リソース起動時実行パス 
S :監視なし 
W :監視あり 

® EXEC リソース停止時実行パス 
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. 1 . 1 / 255 . 255 . 255 .( 

.2.1/2 己己. 2 己己. 2 己己.〔 


. 1 . 2 / 255 . 255 . 255 .( 
. 2 . 2 / 255 . 255 . 255 .( 
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① CLUSTERPRO AE の起動方法 
YES :自動起動 

N 0 :手動起動 

(D 起動待ち合わせ時闇(秒） 

感八ートビート受信用 UDP ポート番号 
® 八ートビート送信闇隔(秒） 

© 八ートビートタイムアウト(秒） 

(D API 用 TCP ポート蕃号 
(7) API タイムアウト(秒） 

® □グ ポー ト香号 

(9) ping コマンドタイムアウト(秒） 

⑩リカバリち法 

RESTART : CLUSTERPRO AE 再起動 

STOP : CLUSTERPRO AE 停止 

HALT : OS シャッ トダウン 

REBOOT : OS リブート 

UNKNOWN :不明 

⑩リトライ回数 
® サーバ 名 （1 台目） 

⑩インタコネクトアドレス 
⑩サーバをに台目） 

© インタコネクトアドレス 
® グループさ） 

⑩グループ起動方法 
AUTO :自動 

MANUAL :手動 

UNKNOWN :不明 

⑩フェイルバック方法 
AUTO :自動 

MANUAL :手動 

UNKNOWN :不明 


cipstat - i の各項目について 


® 環境変数 

ACT-NORMAL :通常起動 

ACT_FAILOVER :フェイルオーパ 
DEACT_NORMAL :通常停止 
DEACTJLLEGAL :異常停止 
娜グループリカバリ方法 
に N 0 RE :無視 

RETRY :再起動 

STOP :停止 

FAILOVER :フェイルオーバ 
UNKNOWN :不明 

@リトライ回数 

(§) 運用系サーバ名待磯系サーバを 
(§) IPW リソースさ） 

@起動タイプ 

ASR :全起動リソース 

USR :単起動リソース 

感 IPW リソース監視対象アドレス 
蠻 IPW リソースリカバリ方法 
に N 0 RE :無視 

RETRY :再起動 

STOP :停止 

FAILOVER :フェイルオーパ 
UNKNOWN :不明 

©リトライ回数 
@ FIP リソースを 
® 起動タイプ 

《 IPW リソースと同様 
® 円 P アドレス 
⑩円 P インターフェース 
® ping 回数 
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@ リトライ回数 
遇） EXEC リソ ースを 
® 起動タイプ 

《 IPWU ソースと同様 
@ EXEC リソース起動時実行パス 
@ EXEC リソース停止時実行パス 
⑩ EXEC リソース監視設を 
《 IPWU ソースと同様 
⑩ EXEC リソースプ□セスの 
⑩ EXE 。」 ソースリカバリ方法 
《 IPW リソースと同様 
© リトライ回数 


# cipstat -n 

- interconnect information - 






address serverO serverl 



丄 . 丄 by . 丄.丄 UK. UK. 


丄 . 丄 by . . 丄 UK. UK. 


address serverO serverl 


192.168.1.2 OK OK 

192.168.2.2 OK OK 


cipstat - n のさ項目について 

① サーバを （1 台目） 

② サーバをに台目） 

③ サーバ （1 台目）ステータス 

④ プライマリインタコネクトアドレス/ステータス 
⑥セカンダリインタコネクトアドレス/ステータス 
⑥サーバに台目）ステータス 


遇） arp 回数 

留）円 P リソ ース リカバリ方法 
《 IPW リソ ースと 同様 
® リトライ回数 
® PARP リソース名 
風起動タイプ 

※ IPW リソ ースと 同様 
風 PARP アドレス 
遇） MAC アドレス 
⑩ PARP インタ フエー ス 
⑩ ping 回数 
@ arp 回数 

® PARP リ ソース リカバリ方法 
《 IPW リソ ースと 同様 
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運用系/待機系の切り替え-業務の起動/停止 

運用系/待機系の切替や、業務の起動/停止を行う場合、 iU 下のコマンドを実行します。 

clpgrp -S [-h host name] [-a group name] 

- t [-h host—name] [-g group—name] 

-m [-h host—name] [-g group_name] 

業務の起動/停止関連操作を巧いまず。 


〈オプション〉 

-S . 業務の起動を行います。すでに起動されていたり、他のサーバで起動 

している場合には失敗します。 

-t . 業務の停止を行います。すでに停止されていたり、他のサーバで起動 

されている場合には失敗します。 

-m . 業務の実行サーバを切り替えます。業務が起動しているサーバ側で実 

巧する必要があります。 

- hhos し name . 操作対象サーバ名です。指をなしの場合、コマンド実斤サーバが対象 

となります。- m オプション指を時には、業務移動元サーバの意巧わ持 
ちます。 

-9 group.name ....... 操作対まグループを指をしまず。指をなしの場合，全グループが対象 

とな U ます。 
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二重化構ぶの再セットアップ 

二重化構成の場合の再セットアップじついて説明します。 

次の手順に従って再インストールしまず。 

♦ 管理 サーバ 

Express 5800 / FW 300または FW 50 日を管理サーバじしている場合の Fi 「 eWall -1 管理サー 
バの再インス I ••••ールじついて説明します。 

1. 3章の r 再インストール」-「再セットアップ」の刮眞7までを行う。 

吕. 4章の 「 Firewall - 1管理サーバのセットアップ」 -「 FireWall - l 管理モジュールのコンフィグレー 
シヨン」を行う。 

3. 3章の r 再インストール」 - r 再セットアップ」の手順9を巧い、管理サーパへバックアップをリス 
トアする。 

♦ 円 rewall 本体 

Firewall 本体の再インストール方法について説明します。 

1. 3章の r 再インストール」-「再セットアップ」の手順7までを行う。 

吕. 4章の 「 Firewall 本体のセットアップ」- 「 Fire 机 all -1 の〕ンフィグレーシヨン」を行う。 

♦ セキュリティポリシーをインス!ル 

セキュリティポリシーの再インストールについて説明しまず。 

1 . SmartDashboard から管理サーバへ接続し、 Firewall -1 管理サーパと FireWall 本体との通信を巧 
うための設定を巧う。 

Fire 机 all -1 管理サーバと Firewall 本体との通信を行うための設定じついては、4章の「セキュリ 
ティポリシーの設を」- 「 Firewall オブジェクトの作成」を参照してください。 

2. Fire 机 all 本体へセキュリティポリシーをインス I ルずる。 

3. 運用系 Firewall 、 待機系 Firewall の順で再起動ずる。 


I 重化構成について 
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注意-制限事頃 


• Firewall 本体が2台 t (上あ要です。また，ライセンスは同じユーザー数のものをそれぞれ 
の実 IP アドレスで申請するみ要があります。 

• 自動フェイルバック時、接続されていたセッションが切断される場合があります。 

• フェイルオーバが発生した場合、 IKE セッションは失われる可能性があります。 

• 自動フ王イルバックが設定されている場合、運巧系サーバ再起動後、自動的に運用系 
サーバで業務が開始されます。自動フェイルバックが設をされていない場合は，待機系 
サーバで業務が起動されたままになり、運用系サーバのちが待機状態になります（運用 
あ、待機系の逆転)。運用系サーバに業務を切り替える場合はコマンド ( cipgrp - m ) じより 
サーバの切り替えを実行するを要があります。 

• 待機系で監視対象 IP アドレスとの适信途絶が発生している場合、運用系でリソース異常 
が発生しても待機系 サーバに 業務は引き纖がれません。ただし，この場合でわ コマンド 
( cIpgrp - m ) により業務実行 サーバ を切り替えることは巧能です。 
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